新聞稿
私隐专员公署介入八宗资料保安事故 呼吁机构多方面加强保障个人资料私隐
日期: 2025年7月7日
私隐专员公署介入八宗资料保安事故
私隐专员公署介入八宗资料保安事故
呼吁机构多方面加强保障个人资料私隐
个人资料私隐专员公署(私隐专员公署)早前介入八宗有关披露个人资料及个人资料保安的事故,涉及不同行业的机构,涉事机构因不同方面的缺失令个人资料被不当披露,或令个人资料受未获准许的或意外的查阅、处理或使用,违反《个人资料(私隐)条例》(《私隐条例》)的相关规定。
八宗资料保安事故个案的简介(详见附件一)
保障资料第 4(1)原则订明,资料使用者须采取所有切实可行的步骤,以确保由资料使用者持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。
在上述个案中,经考虑个别事件的情况及所获得的资料,个人资料私隐专员(私隐专员)钟丽玲发现涉案机构分别违反了《私隐条例》下保障资料第3(1)原则有关使用(包括披露)个人资料的规定,或保障资料第4(1)原则有关个人资料保安的规定。
私隐专员呼吁机构加强员工对保障个人资料私隐的意识,并培养良好的工作习惯。她指出:「公众对保障个人资料私隐的期望与日俱增,机构有责任将保障个人资料私隐视为其核心价值之一,构建一个保障个人资料私隐及数据安全的工作环境。这有助确保符合《私隐条例》的要求,并可加强客户对机构的信心。」
资料保安的陷阱可能潜藏在每个工作步骤,为了协助机构应对个人资料保安的挑战,私隐专员公署向各行各业的机构作出以下六项建议:
附件一
有关八间机构不当披露个人资料的个案摘录
个案(1)–化验中心没有采取充足保安措施导致病人资料外洩
投诉人到某化验中心进行超声波扫瞄。当完成检查后,医生先行离开检查室,并独留投诉人一人在检查室内整理衣服。期间,投诉人看到超声波仪器的显示屏清晰展示数名病人(包括投诉人)的英文姓名、完整香港身份证号码及简单病历(例如拟扫瞄的器官或所患疾病)。投诉人不满自己的个人资料被展示,遂向私隐专员公署作出投诉。
经私隐专员公署介入事件后,该化验中心已调整显示屏的方向避免其直接面向病人,并不再展示病人姓名和香港身份证号码,以及添置活动屏风以作遮挡。此外,该化验中心亦修订操作指引,要求医护人员离开检查室前必须登出系统,同时加强员工就有关个人资料私隐方面的培训及定期进行私隐风险评估。
个案(2)–旅行社分发载有所有团友个人资料的团体电子机票
投诉人因参加旅行团而向某旅行社提供其个人资料。涉事旅行团领队于入境目的地国家前向团员分发同一张团体电子机票,供团员于办理入境手续时自行向当地海关展示,惟该电子机票载有包括领队及团员一共30多名人士的英文姓名及出生日期,令所有团员均能透过该团体电子机票得知彼此的个人资料。
旅行社承认事件源于相关领队派发团体电子机票前,未有注意到航空公司在其中附加了乘客的出生日期。经私隐专员公署介入后,旅行社已通知相关旅行团每一组别之联络人自行销毁该团体电子机票,并就团体电子机票的处理方式作出多项改善措施,包括统一电子机票之格式,当中只可包含航班资料、相关团员的姓名及其电子机票号码,并在复核后才将该些为每名团员特制的电子机票提供予领队,不再将团体电子机票分发给团员,以及加强内部监察和员工培训。
个案(3)–保安公司在处理有关泊车的投诉时披露一名停车场租户的电话号码予另一名租户
投诉人为一个屋苑的停车场租户。投诉人早前收到另一名租户(租户A)的来电,要求他到停车场重新泊好车辆,让租户A可顺利将车辆驶入其所属的车位。投诉人到场后获悉当值的保安员将其手提电话号码披露予租户A。
保安公司事后承认事件源于租户A向涉事保安员要求协助联络投诉人,其后该保安员错误地应要求将投诉人的电话号码披露予租户A,让其自行与投诉人联络处理泊车事宜。
经私隐专员公署介入后,保安公司采取措施纠正违规事项,以及防止类似违规情况再次发生,包括制定和实施政策及程序确保员工不会在未获资料当事人的同意下,将停车场用户的个人资料使用于「新目的」,并定期将相关政策及程序向员工传阅。
个案(4)–医疗服务机构的网上登记表格不当披露登记人士的个人资料
某医疗服务机构的网上登记表格被发现不当披露100多名登记人士递交的个人资料,包括中英文姓名、电话号码、电邮地址和出生日期。事件源于人为疏忽,因相关机构的职员没有更改网上表格设定的「查看结果摘要」功能,让填表格的人士可以从「查看结果摘要」功能看到其他填表人士的资料。
相关机构于知悉有关情况后已即时停用网上登记表格之连结及移除该表格。该机构确认日后会正确设置「查看结果摘要」功能,方将网上表格上载网站使用。
个案(5)–政府部门发出的信件内容可透过信封窗口被查阅
有政府部门向投诉人邮递有关通知更改地址的文件,投诉人收悉有关信件后发现透过信封窗口可看到当中的信件标题及其个案编号,而该编号即其香港身份证号码。投诉人就此向私隐专员公署投诉相关政府部门没有妥善保障其个人资料安全。
该政府部门承认事件源于有关职员未有跟从相关政府部门既定的折信要求处理向投诉人发出的信件,且未有意识到信封窗口显示了个案编号。经私隐专员公署介入事件后,相关部门已采取一系列跟进措施,包括提醒有关职员必须遵从既定程序处理信件、就相关折信要求及程序制定清晰的图示指引、将个案编号于信件范本中的位置向下调整、安排主管定期抽查信件,以及安排员工参与培训,加强他们在保障个人资料私隐方面的意识。
个案(6)–保险公司使用载有个人资料的文件作为环保纸
一间保险公司将原本需要弃置的个人简历及香港身份证副本等载有个人资料的纸张当作环保纸使用,并将以该些环保纸打印的文件发送到其他公司,令当中所载的个人资料遭外洩。
经私隐专员公署介入事件后,相关公司已与处理个人资料的员工进行面谈及解释事件的严重性,并强调不可再发生同类事件。此外,该公司亦向所有员工发出通告,指示员工有关重用纸张及弃置载有个人资料文件需要注意的事项,包括必须弃置所有完成投保手续的文件于指定回收位置并待环保回收公司代为处理、弃置或销毁,并安排定期传阅有关通告,以确保其员工不会重蹈复辙。
个案(7)–零售商向会员寄发优惠讯息电邮时意外披露其他会员的电邮地址
事件源于一间零售商向会员寄发优惠讯息电邮时,将全体会员的电邮地址错误填写在「收件人」栏目,引致收件人看到其他逾千名会员的电邮地址。事件肇因是一名职员发出电邮时错误将所有会员的电邮地址填写在「收件人」一栏。
事件发生后,相关公司向所有涉事会员发出道歉信,要求客户注意错发的电邮并删除涉事电邮。经私隐专员公署介入后,该公司已就电邮发送作出纠正措施,每当员工发送电邮至两个或以上公司以外人士的电邮地址时,系统会自动以密件副本功能(即b.c.c.形式)发送电邮,让除收件人自己以外的其他电邮地址均被隐藏。该公司亦发出通告提醒所有员工正确使用发送电邮的密件副本(即b.c.c.)功能。
个案 (8)–航空公司的会员帐户系统因指令码错误导致个人资料外洩
投诉人为某航空公司的客户。投诉人在输入电邮地址登入其帐户后发现所展示的个人资料属于另一名客户。
航空公司承认事件源于其服务供应商将其会员帐户系统更新时编撰的指令码出现错误,以致该指令码错误读取电邮地址中的一些特殊字符(例如“_”, “*”, “%” 等) 为通用字符,导致该帐户错误连结至另一名拥有相似电邮地址的客户帐户。
私隐专员公署就个案指令航空公司制定指引及程序,以确保其供应商在测试系统提升时检查特殊字符,并制定及实施措施要求供应商日后在进行涉及个人资料的系统提升时,就编撰指令码或类似的规程进行额外的审查。
八宗资料保安事故个案的简介(详见附件一)
-
一间化验中心的医生在替投诉人进行超声波扫瞄后,于离开检查室时未有登出系统,令仍留在检查室内的投诉人看到检查仪器的显示屏上展示的其他病人资料,包括英文姓名、完整香港身份证号码及简单病历。
-
一名旅行团领队向团员派发的团体电子机票上载有包括领队及团员共30多名人士的英文姓名及出生日期,令所有团员均能透过该团体电子机票得知彼此的个人资料。
-
一名停车场保安员在处理有关泊车的投诉时,将投诉人的电话号码提供予另一名涉事的停车场租户,让其自行与投诉人处理泊车事宜,构成将投诉人的电话号码不当地披露予另一名租户。
-
一间医疗服务机构透过网上登记表格收集市民的个人资料时,未有对表格的「查看结果摘要」功能作出适当设定,令100多名登记人士的个人资料包括中英文姓名、电话号码、电邮地址和出生日期可透过「查看结果摘要」功能被其他填表人士查阅。
-
一个政府部门向投诉人发出一封邮递文件,但部门职员未有跟从既定的折信要求处理信件,以致透过信封窗口可看到当中的信件标题及由投诉人香港身份证号码组成的个案编号。
-
一间保险公司以环保纸打印发送到其他公司的文件,而所用的环保纸为待弃置的个人简历及香港身份证副本,令当中所载的个人资料亦一并被错误地发送到其他公司。
-
一间零售商向会员寄发优惠讯息电邮,惟寄发电邮的职员因操作失误,将全体会员的电邮地址填写在「收件人」栏目,令收件人因而可在该电邮中看到逾千名会员的电邮地址。
- 一间航空公司的会员帐户系统使用了错误指令码,以致投诉人在登入会员帐户时被错误连结至另一会员的帐户,并可查阅该会员帐户内的个人资料。
保障资料第 4(1)原则订明,资料使用者须采取所有切实可行的步骤,以确保由资料使用者持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。
在上述个案中,经考虑个别事件的情况及所获得的资料,个人资料私隐专员(私隐专员)钟丽玲发现涉案机构分别违反了《私隐条例》下保障资料第3(1)原则有关使用(包括披露)个人资料的规定,或保障资料第4(1)原则有关个人资料保安的规定。
私隐专员呼吁机构加强员工对保障个人资料私隐的意识,并培养良好的工作习惯。她指出:「公众对保障个人资料私隐的期望与日俱增,机构有责任将保障个人资料私隐视为其核心价值之一,构建一个保障个人资料私隐及数据安全的工作环境。这有助确保符合《私隐条例》的要求,并可加强客户对机构的信心。」
资料保安的陷阱可能潜藏在每个工作步骤,为了协助机构应对个人资料保安的挑战,私隐专员公署向各行各业的机构作出以下六项建议:
-
将保障个人资料私隐纳入机构的核心价值,并委任合适的主管人员负责资料保安,公开展示管理层对保障个人资料私隐的决心,让员工感受到其重要性;
-
通过培训提升员工保障私隐的意识和能力,按照工作职能为员工提供针对性的培训,重点讲解常见风险及进行情景演练;
-
制定清晰易明的工作指引,针对不同岗位的工作特性,设计检查清单或流程图向员工清晰传达具体易明的操作指引,并定期通过电邮、内部平台或会议重申相关重点;
-
采取技术上的保安措施,例如使用预设加密的电邮系统或自动填充电邮正确收件人,减低错误操作的风险;
-
定期监察、评估及改善资料保安政策的遵从情况,包括安排主管人员定期或突击巡查前线员工的工作情况,透过监察以确保个人资料保安政策获得贯彻执行,并定期收集员工的意见以持续改善有关政策;及
- 制定全面的资料外洩事故应变计划,以助机构快速应对及有效管理一旦发生的资料外洩事故。
私隐专员钟丽玲讲解资料保安事故的详情。
私隐专员钟丽玲(右)及助理个人资料私隐专员(投诉及刑事调查)何芹若(左)阐述私隐专员公署介入八宗资料保安事故。
私隐专员钟丽玲(左)及助理个人资料私隐专员(投诉及刑事调查)何芹若(右)阐述私隐专员公署介入八宗资料保安事故。
-完-
附件一
有关八间机构不当披露个人资料的个案摘录
个案(1)–化验中心没有采取充足保安措施导致病人资料外洩
投诉人到某化验中心进行超声波扫瞄。当完成检查后,医生先行离开检查室,并独留投诉人一人在检查室内整理衣服。期间,投诉人看到超声波仪器的显示屏清晰展示数名病人(包括投诉人)的英文姓名、完整香港身份证号码及简单病历(例如拟扫瞄的器官或所患疾病)。投诉人不满自己的个人资料被展示,遂向私隐专员公署作出投诉。
经私隐专员公署介入事件后,该化验中心已调整显示屏的方向避免其直接面向病人,并不再展示病人姓名和香港身份证号码,以及添置活动屏风以作遮挡。此外,该化验中心亦修订操作指引,要求医护人员离开检查室前必须登出系统,同时加强员工就有关个人资料私隐方面的培训及定期进行私隐风险评估。
个案(2)–旅行社分发载有所有团友个人资料的团体电子机票
投诉人因参加旅行团而向某旅行社提供其个人资料。涉事旅行团领队于入境目的地国家前向团员分发同一张团体电子机票,供团员于办理入境手续时自行向当地海关展示,惟该电子机票载有包括领队及团员一共30多名人士的英文姓名及出生日期,令所有团员均能透过该团体电子机票得知彼此的个人资料。
旅行社承认事件源于相关领队派发团体电子机票前,未有注意到航空公司在其中附加了乘客的出生日期。经私隐专员公署介入后,旅行社已通知相关旅行团每一组别之联络人自行销毁该团体电子机票,并就团体电子机票的处理方式作出多项改善措施,包括统一电子机票之格式,当中只可包含航班资料、相关团员的姓名及其电子机票号码,并在复核后才将该些为每名团员特制的电子机票提供予领队,不再将团体电子机票分发给团员,以及加强内部监察和员工培训。
个案(3)–保安公司在处理有关泊车的投诉时披露一名停车场租户的电话号码予另一名租户
投诉人为一个屋苑的停车场租户。投诉人早前收到另一名租户(租户A)的来电,要求他到停车场重新泊好车辆,让租户A可顺利将车辆驶入其所属的车位。投诉人到场后获悉当值的保安员将其手提电话号码披露予租户A。
保安公司事后承认事件源于租户A向涉事保安员要求协助联络投诉人,其后该保安员错误地应要求将投诉人的电话号码披露予租户A,让其自行与投诉人联络处理泊车事宜。
经私隐专员公署介入后,保安公司采取措施纠正违规事项,以及防止类似违规情况再次发生,包括制定和实施政策及程序确保员工不会在未获资料当事人的同意下,将停车场用户的个人资料使用于「新目的」,并定期将相关政策及程序向员工传阅。
个案(4)–医疗服务机构的网上登记表格不当披露登记人士的个人资料
某医疗服务机构的网上登记表格被发现不当披露100多名登记人士递交的个人资料,包括中英文姓名、电话号码、电邮地址和出生日期。事件源于人为疏忽,因相关机构的职员没有更改网上表格设定的「查看结果摘要」功能,让填表格的人士可以从「查看结果摘要」功能看到其他填表人士的资料。
相关机构于知悉有关情况后已即时停用网上登记表格之连结及移除该表格。该机构确认日后会正确设置「查看结果摘要」功能,方将网上表格上载网站使用。
个案(5)–政府部门发出的信件内容可透过信封窗口被查阅
有政府部门向投诉人邮递有关通知更改地址的文件,投诉人收悉有关信件后发现透过信封窗口可看到当中的信件标题及其个案编号,而该编号即其香港身份证号码。投诉人就此向私隐专员公署投诉相关政府部门没有妥善保障其个人资料安全。
该政府部门承认事件源于有关职员未有跟从相关政府部门既定的折信要求处理向投诉人发出的信件,且未有意识到信封窗口显示了个案编号。经私隐专员公署介入事件后,相关部门已采取一系列跟进措施,包括提醒有关职员必须遵从既定程序处理信件、就相关折信要求及程序制定清晰的图示指引、将个案编号于信件范本中的位置向下调整、安排主管定期抽查信件,以及安排员工参与培训,加强他们在保障个人资料私隐方面的意识。
个案(6)–保险公司使用载有个人资料的文件作为环保纸
一间保险公司将原本需要弃置的个人简历及香港身份证副本等载有个人资料的纸张当作环保纸使用,并将以该些环保纸打印的文件发送到其他公司,令当中所载的个人资料遭外洩。
经私隐专员公署介入事件后,相关公司已与处理个人资料的员工进行面谈及解释事件的严重性,并强调不可再发生同类事件。此外,该公司亦向所有员工发出通告,指示员工有关重用纸张及弃置载有个人资料文件需要注意的事项,包括必须弃置所有完成投保手续的文件于指定回收位置并待环保回收公司代为处理、弃置或销毁,并安排定期传阅有关通告,以确保其员工不会重蹈复辙。
个案(7)–零售商向会员寄发优惠讯息电邮时意外披露其他会员的电邮地址
事件源于一间零售商向会员寄发优惠讯息电邮时,将全体会员的电邮地址错误填写在「收件人」栏目,引致收件人看到其他逾千名会员的电邮地址。事件肇因是一名职员发出电邮时错误将所有会员的电邮地址填写在「收件人」一栏。
事件发生后,相关公司向所有涉事会员发出道歉信,要求客户注意错发的电邮并删除涉事电邮。经私隐专员公署介入后,该公司已就电邮发送作出纠正措施,每当员工发送电邮至两个或以上公司以外人士的电邮地址时,系统会自动以密件副本功能(即b.c.c.形式)发送电邮,让除收件人自己以外的其他电邮地址均被隐藏。该公司亦发出通告提醒所有员工正确使用发送电邮的密件副本(即b.c.c.)功能。
个案 (8)–航空公司的会员帐户系统因指令码错误导致个人资料外洩
投诉人为某航空公司的客户。投诉人在输入电邮地址登入其帐户后发现所展示的个人资料属于另一名客户。
航空公司承认事件源于其服务供应商将其会员帐户系统更新时编撰的指令码出现错误,以致该指令码错误读取电邮地址中的一些特殊字符(例如“_”, “*”, “%” 等) 为通用字符,导致该帐户错误连结至另一名拥有相似电邮地址的客户帐户。
私隐专员公署就个案指令航空公司制定指引及程序,以确保其供应商在测试系统提升时检查特殊字符,并制定及实施措施要求供应商日后在进行涉及个人资料的系统提升时,就编撰指令码或类似的规程进行额外的审查。